Презентация-пародия "The SOC - внутренние угрозы". Как TheSOC выявлял инциденты, связанные с нелояльным сотрудником

1. ПО МОТИВАМ ПРЕЗЕНТАЦИИ ЭЛЬМАНА БЕЙБУТОВА “КТО ПРИСМОТРИТ ЗА СМОТРЯЩИМ?”
КТО ПРИСМОТРИТ ЗА ШТИРЛИЦЕМ?
КАК TheSOC ВЫЯВЛЯЛ ИНЦИДЕНТЫ СРЕДИ
ПРИВИЛЕГИРОВАННЫХ ПОЛЬЗОВАТЕЛЕЙ
ЦЕНТРАЛЬНОГО АППАРАТА СД
Все совпадения с реальными событиями случайны. Имена, фамилии, географические названия
не соотвествуют именам, фамилиям, географическим названиям реальных людей и объектов.
“Штирлиц послал ping по имени сайта. Сайт не ответил. Штирлиц послал
ping по IP-адресу сайта. Сайт не ответил. Штирлиц, не поленился, и
поехал в офис компании, подошел к двери и ударил её ногой. Дверь не
открылась. Штирлиц разбежался и бросился на дверь всем телом. С тем
же успехом. “Файервол”, — догадался Штирлиц”.
:Анекдот

2. Случай первый:
Как быстро парализовать прием входящих звонков
в центральном аппарате СД?
Штирлиц
Главное имперское ведомство безопасности
Протестировать новый вид DDoS-атаки
:Кто
:Где
:Зачем
:Точки контроля -голосовое меню (IVR), фильтрация роботов автодозвонов
-использование Black-list для определенных номеров (AOH )ы
-фильтрация звонков по заданным критериям
:Инструментарий
(Автоматический массовый дозвон DDoS- )атака на
,номера ведомства при ответе вызывающий кладет
трубку
ИБ.Взгляд_снизу
:Источники
АТС
Г. БЕРЛИН
31 ДЕКАБРЯ

3. Случай второй :
?Как быстро взломать сеть изнутри
Штирлиц
VI управление РСХА (политическая разведка)
Получить контроль над целевой системой
:Кто
:Где
:Зачем
:Точки контроля
Часто повторяющиеся команды с IP-адреса 127.0.0.1:
-mount/unmount device
-запуск/остановка процессов
-исполнение команд типа “su borman” и “su muller”
- , :сканирования портов перебор стандартных учеток “schellenberg”,
“tabakov”, “sharapov”, “pronin”
-случайно оставленные следы (Феликс Эдмундович)
:Инструментарий
Фишинговые письма по email, VBScript, обфускаторы
VBS, Ammyy Admin, GiGa LoGGer V2
ИБ.Взгляд_снизу
:Источники
Shtrltz.Scanner, Local logs, AV
(модуль контроля запуска
приложений)
Г. БЕРЛИН
7 НОЯБРЯ

4. Случай третий:
Хакер с ZverCD в корпоративной сети центрального
банка Германской империи (Reichsbank)
Штирлиц
Рейхсбанк
Поставить на электронном табло с курсами валют
Рейхсбанка заставку с портретом Сталина
Развернуть образ ОС с ZverCD на компьютере
Центрального банка с курсами валют
:Кто
:Где
:Зачем
:Как
:Точки контроля
Вредоносная сетевая активность
Вирусные заражения на хосте
:Источники
FW, IPS, AV, ОС, AD
Г. БЕРЛИН
9 МАЯИБ.Взгляд_снизу
:Инструментарий
CuteFTP, Ammyy Admin,
GiGa LoGGer V2

5. Случай четвертый :
Применение социальной инженерии в отношении
кассиров банков
Штирлиц
Банки Берлина
Представляясь сотрудником IT- ,подразделения под предлогом
тестирования сервиса обнулить карточный счет кассира
:Из объяснений кассира “ ,я оказалась слишком доверчивой а он
оказался слишком наглым”
:Кто
:Где
:Зачем
:Как
:Точки контроля
:Источники
FinCERT, -Антидроп клуб
Г. БЕРЛИН
14 ФЕВРАЛЯИБ.Взгляд_снизу
Человеческий фактор (spear phishing)
Повышение осведомлённости

6. Случай пятый:
Как обрушить компьютерную сеть
центрального аппарата СД?
Штирлиц
Центральный аппарат СД
Вызвать панику в стане врага
Просто дружить с администратором сети
:Кто
:Где
:Зачем
:Как
:Точки контроля
-входы одной учетки с разных IP/hostname
-подключения из “чужих” ( ,провайдерских сетей например
“Ростелеком”)
-входы в системы - ,из под учеток заблокированных в AD
-входы пользователей, находящихся в отпуске/на фронте
-проверка отчетов сканеров уязвимостей
:Источники
FW, IPS, AD, Application/WAF
Г. БЕРЛИН
23 ФЕВРАЛЯИБ.Взгляд_снизу

7. Случай шестой:
Как быстро парализовать работу телеком-провай ?дера
Штирлиц
-Крупный немецкий телеком провайдер
Протестировать новый вид DDoS-атаки
:Кто
:Где
:Зачем
:Точки контроля -обработка логов
-фильтрация вредоносного трафика
-блокирование определенных
портов, адресов или протоколов
:Инструментарий
Дарить на праздники сослуживцам кофемолки с вшитым
производителем паролем, который невозможно поменять.
Подготовить бот-сеть, состоящую из множества кофемолок со
взломанным паролем, использовать устройства как боевые роботы
для проведения DDoS-атаки на телеком-провайдера
ИБ.Взгляд_снизу
:Источники
FW, AV, Local logs,
WAF, IPS
Г. БЕРЛИН
ежегодно, 20 октября

8. Случай седьмой:
Нестандартные методы работы службы безопасности
Штирлиц
VI управление РСХА
Улучшить KPI
С помощью Яндекс Браузера
:Кто
:Где
:Зачем
:Как
:Точки контроля
-проверка паспортов офицеров VI управления с помощью
ресурса www.egrul.ru/pasports.html
-взаимодействие с ГосСОПКА и НКЦКИ
-использование только сертифицированной криптографии
(например, КриптоПро CSP)
:Источники
DLP, SaffCop
Г. БЕРЛИН
5 МАЯИБ.Взгляд_снизу
Название , %Доля
Chrome 46.77
Firefox 9.45
Safari 9.13
Opera 6.89
Microsoft Internet
Explorer
3.68
Android Browser 2.21
Internet Explorer
Mobile
1.98
Opera Mini 1.36
Yandex Browser 0.00001
OpenStat
VI-го управления РСХА
:Инструментарий
Yandex Browser, КриптоПро CSP

9. Случай восьмой:
Cбор информации из открытых источников с
помощью специализированных средств
Служба безопасности
В сети Internet
,Выявление нелояльных сотрудников отклонений
от профиля истинного арийца
С помощью Аваланч
:Кто
:Где
:Зачем
:Как
:Индикаторы компрометации
-ping kremlin.ru (проверка связи)
-уплата налогов на gosuslugi.ru
-выкладывание фотографий после корпоратива ведомства
на ok.ru и fotostrana.ru
-Дайджест новостей по ИБ за 01-31 мая:
Макс Отто фон Штирлиц советует не верить на слово немецкому командованию;
тезисно поделился впечатлениями о бизнес-завтраке у Бормана
:Источники Аваланч, SaffCop, блоги по ИБ
Г. БЕРЛИН
31 МАЯИБ.Взгляд_снизу

10. Случай девятый:
( ) …Сломать кадровую систему а заодно и СКУД и скрыться
Штирлиц
IV управление РСХА (гестапо)
Парализовать работу управления
:Кто
:Где
:Зачем
:Точки контроля
Запросы в СУБД кадровой системы
Изменение файлов в критичных директориях
Изменеие фотографий в личных делах сотрудников
Изменение нумерации кабинетов IV управления (гестапо)
Запуск/остановка турникета на проходной управления
Срабатывание пожарной сигнализации
:Источники
Г. БЕРЛИН
2 АВГУСТАИБ.Взгляд_снизу
:Инструментарий
FTP Password Dump, CuteFTP, Extension Spoofer, iBrute
HR, AD, AV (модуль
контроля запуска
)приложений

11. Случай десятый:
Взломать Wi-Fi за… 3 секунды
Штирлиц
Пивная “Грубый Готлиб”
…Случайно
Штирлиц случайно узнал, что во всех моделях
роутеров Главного управления дефолтный пароль —
это 8 последних символов MAC-адреса устройства
:Кто
:Где
:Зачем
:Как
Точки
:контроля
-контроль Wi-Fi сети
:Источники
Wireless Statistics, Wireless Network Watcher
Г. БЕРЛИН
7 МАЯИБ.Взгляд_снизу
“You have been pwned”

12. Кто найдёт управу на Штирлица? Только TheSOC
Г. МОСКВА
16 НОЯБРЯ 2016ИБ.Взгляд_снизу
TheSOC–это централизованная
корпоративная команда
мониторинга безопасности,
созданная в целях снижения
рисков организации путем
использования технологий и
процессов для обнаружения
инцидентов, их локализации,
анализа и снижения ущерба
SOLAR SECURITY,
РОССИЯ, МОСКВА

13. Как устроен TheSOC?
Г. МОСКВА
16 НОЯБРЯ 2016ИБ.Взгляд_снизу
Специализированное ПО
(SIEM-продукты)
Группа быстрого реагирования
(SIEM-процессы)
Поддержка 24х7
(персонал)

14. #muller
#shtirlitz
#schellenberg
#borman
#holthoff #kaltenbrunner #himmler#wolf
#goering
#eismann#rolf
СПАСИБО ЗА ВНИМАНИЕ!
МАКС ОТТО ФОН ШТИРЛИЦ
SKYPE
EMAIL
VON_SHTIRLITZ
CISA ЭКСПЕРТ,
СЛУЖБА БЕЗОПАСНОСТИ
VON_SHTIRLITZ@YANDEX.RU